Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment configurer un LAN sans fil CWA sur un WLC et ISE Catalyst 9800.
Cisco recommande que vous connaissiez la configuration des contrôleurs LAN sans fil (WLC) 9800.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Le processus CWA est affiché ici où vous pouvez voir comme exemple le processus CWA d'un appareil Apple :
Étape 1. Ajouter le serveur ISE à la configuration WLC du 9800
Accédez à Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add et entrez les informations du serveur RADIUS comme indiqué dans les images.
Assurez-vous que la fonction Support for CoA est activée si vous prévoyez utiliser l’authentification Web centralisée (ou tout type de sécurité nécessitant CoA) à l’avenir.
Remarque : sur les versions 17.4.X et ultérieures, assurez-vous de configurer également la clé du serveur CoA lors de la configuration du serveur RADIUS.
Étape 2. Créez une liste de méthodes d’autorisation.
Allez à Configuration > Security > AAA > AAA Method List > Authorization > +Add (configuration > sécurité > AAA > liste de méthodes AAA > autorisation > +ajouter) selon les indications de l’image.
Étape 3 (facultative). Créez une liste de méthodes de gestion des comptes comme illustrée dans l’image.
Remarque : CWA ne fonctionne pas si vous décidez d'équilibrer la charge (à partir de la configuration CLI de Cisco IOS® XE) de vos serveurs RADIUS en raison du bogue Cisco ayant l'ID CSCvh03827. L'utilisation d'équilibreurs de charge externes est correcte.
Étape 4 (facultatif).
Vous pouvez définir la politique AAA pour qu’elle envoie le nom SSID comme attribut Called-station-id, ce qui peut être utile si vous souhaitez exploiter cette condition sur ISE plus tard dans le processus.
Accédez à Configuration > Security > Wireless AAA Policy et modifiez la stratégie aaa par défaut ou créez-en une nouvelle.
Vous pouvez choisir SSID comme option 1. Gardez à l'esprit que même lorsque vous choisissez le SSID uniquement, l'ID de station appelé ajoute toujours l'adresse MAC AP au nom SSID.
Étape 1. Créez le WLAN.
Allez à Configuration > Tags & Profiles > WLANs > +Add (configuration > balises et profils > WLAN > +ajouter) et configurez le réseau selon vos besoins.
Étape 2. Saisissez les informations générales du WLAN.
Étape 3. Allez à l’onglet Security (sécurité) et sélectionnez la méthode de sécurité requise. Dans ce cas, seul le « filtrage MAC » et la liste d'autorisation AAA (que vous avez créée à l'étape 2 de la section Configuration AAA) sont nécessaires.
CLI :
#config t
(config)#wlan cwa-ssid 4 cwa-ssid
(config-wlan)#mac-filtering CWAauthz
(config-wlan)#no security ft adaptive
(config-wlan)#no security wpa
(config-wlan)#no security wpa wpa2
(config-wlan)#no security wpa wpa2 ciphers aes
(config-wlan)#no security wpa akm dot1x
(config-wlan)#no shutdown
Dans un profil de politique, vous pouvez décider à quel VLAN affecter les clients, entre autres paramètres (comme la liste de contrôles d’accès [ACL], la qualité de service [QoS], l’ancrage de mobilité, les minuteries, etc.).
Vous pouvez soit utiliser votre profil de politique par défaut, soit en créer un nouveau.
IUG:
Étape 1. Créez un nouveau profil de politique.
Allez à Configuration > Tags & Profiles > Policy (configuration > balises et profils > politiques) et configurez votre profil de politiques par défaut ou créez-en un nouveau.
Assurez-vous que le profil est activé.
Étape 2. Sélectionner le réseau VLAN.
Rendez-vous à l’onglet Access Policies (politiques d’accès) et sélectionnez le nom du réseau VLAN dans la liste déroulante ou entrez manuellement son ID. Ne configurez pas de liste de contrôle d’accès dans le profil de politique.
Étape 3. Configurez le profil de politique pour accepter les remplacements ISE (en cochant « Allow AAA Override ») et le changement d’autorisation (CoA) (en cochant « NAC State »). Vous pouvez également définir une méthode de gestion des comptes.
CLI :
# config # wireless profile policy <policy-profile-name> # aaa-override
# nac
# vlan <vlan-id_or_vlan-name>
# accounting-list <acct-list>
# no shutdown
Vous pouvez associer votre SSID à votre profil de politiques dans la balise de politiques. Vous pouvez soit créer une nouvelle balise de politiques, soit utiliser la balise de politique par défaut.
Remarque : la balise default-policy-tag lie automatiquement tout SSID avec un ID WLAN compris entre 1 et 16 au le profil default-policy-profile. Elle ne peut pas être modifiée ni supprimée. Si vous utilisez un réseau WLAN avec un ID de 17 ou plus, la balise de politiques par défaut ne peut pas être utilisée.
IUG:
Allez à Configuration > Tags & Profiles > Tags > Policy (configuration > balises et profils > balises > politiques) et ajoutez-en une nouvelle si nécessaire, comme illustré dans l’image.
Liez votre profil de réseau WLAN au profil de politiques souhaité.
CLI :
# config t # wireless tag policy <policy-tag-name> # wlan <profile-name> policy <policy-profile-name>
Affectez la balise de politiques aux points d’accès nécessaires.
IUG:
Pour attribuer la balise à un point d’accès, allez à Configuration > Wireless > Access Points > AP Name > General Tags (configuration > sans fil > points d’accès > nom des points d’accès > balises générales), effectuez l’affectation nécessaire, puis cliquez sur Update & Apply to Device (mettre à jour et appliquer à l’appareil).
Remarque : sachez qu'après avoir modifié la balise de stratégie sur un AP, il perd son association au WLC 9800 et se reconnecte dans environ 1 minute.
Afin d'attribuer la même balise de stratégie à plusieurs points d'accès, accédez à Configuration > Wireless > Wireless Setup > Advanced > Start Now
Sélectionnez les points d’accès auxquels vous souhaitez affecter la balise et cliquez sur +Tag APs (ajout de balise aux points d’accès), comme illustré dans l’image.
Sélectionnez la balise souhaitée et cliquez sur Save & Apply to Device (enregistrer et appliquer à l’appareil), comme illustré dans l’image.
CLI :
# config t # ap <ethernet-mac-addr> # policy-tag <policy-tag-name> # end
Étape 1. Rendez-vous à Configuration > Security > ACL > +Add (configuration > sécurité > liste de contrôle d’accès > +ajouter) afin de créer une nouvelle liste de contrôle d’accès.
Sélectionnez un nom pour la liste, réglez-le au type IPv4 Extended et ajoutez chaque règle sous forme de séquence, comme illustré dans l’image.
Vous devez refuser le trafic vers vos nœuds PSN ISE, refuser le DNS et autoriser tout le reste. Cette liste de contrôle d’accès de redirection n’est pas une liste de contrôle d’accès de sécurité, mais une liste de contrôle d’accès ponctuelle qui définit le trafic acheminé vers le processeur (en cas d’autorisation) pour un traitement ultérieur (comme la redirection) et le trafic restant sur le plan de données (en cas de refus) et qui évite la redirection.
La liste de contrôle d'accès doit ressembler à ceci (remplacez 10.48.39.28 par votre adresse IP ISE dans cet exemple) :
Remarque : pour la liste de contrôle d'accès de redirection, considérez l'action deny comme une redirection deny (et non deny traffic) et l'action permit comme une redirection permit. Le WLC examine uniquement le trafic qu'il peut rediriger (ports 80 et 443 par défaut).
CLI :
ip access-list extended REDIRECT
deny ip any host <ISE-IP>
deny ip host<ISE-IP> any
deny udp any any eq domain
deny udp any eq domain any
permit tcp any any eq 80
Remarque : si vous terminez la liste de contrôle d'accès avec permit ip any any au lieu d'une autorisation concentrée sur le port 80, le WLC redirige également HTTPS, ce qui est souvent indésirable car il doit fournir son propre certificat et crée toujours une violation de certificat. C'est l'exception à la déclaration précédente qui dit que vous n'avez pas besoin d'un certificat sur le WLC dans le cas de CWA : vous en avez besoin si vous avez l'interception https activée mais elle n'est jamais considérée comme valide de toute façon.
Vous pouvez améliorer la liste de contrôle d'accès en refusant uniquement le port invité 8443 vers le serveur ISE.
La configuration du portail d'administration Web est liée à la configuration du portail d'authentification Web et doit écouter sur le port 80 afin de rediriger. Par conséquent, HTTP doit être activé pour que la redirection fonctionne correctement. Vous pouvez choisir de l'activer globalement (en utilisant la commande "ip http server") ou vous pouvez activer HTTP pour le module d'authentification Web uniquement (en utilisant la commande "webauth-http-enable" sous la carte de paramètres).
Si vous voulez être redirigé quand vous essayez d'accéder à une URL HTTPs, alors ajoutez la commande "intercept-https-enable" sous le mappage de paramètre mais notez que ce n'est pas une configuration optimale, qu'elle a un impact sur le CPU WLC et génère des erreurs de certificat quand même :
parameter-map type webauth global
type webauth
intercept-https-enable
trustpoint xxxxx
Vous pouvez également le faire via l'interface graphique avec l'option "Web Auth intercept HTTPs" cochée dans la carte des paramètres (Configuration > Security > Web Auth
Remarque : par défaut, les navigateurs utilisent un site Web HTTP pour lancer le processus de redirection. Si la redirection HTTPS est nécessaire, l'authentification Web intercepte les HTTP. Toutefois, cette configuration n'est pas recommandée car elle augmente l'utilisation du processeur.
Étape 1.Ouvrez la console ISE et accédez àAdministration > Network Resources > Network Devices > Add
comme l’indique l’image.
Étape 2. Configurez le périphérique réseau.
Il peut éventuellement s'agir d'un nom de modèle, d'une version de logiciel, d'une description et d'une affectation de groupes de périphériques réseau en fonction des types de périphériques, de l'emplacement ou des WLC.
L'adresse IP correspond ici à l'interface WLC qui envoie les requêtes d'authentification. Par défaut, il s'agit de l'interface de gestion, comme illustré dans l'image :
Pour plus d'informations sur les groupes de périphériques réseau, consultez le guide d'administration d'ISE Chapitre : Gestion des périphériques réseau : ISE - Groupes de périphériques réseau
Étape 1. Allez à Administration > Identity Management > Identities > Users > Add (gestion > gestion des identités > identités > utilisateurs > ajouter) en suivant les indications de l’image.
Étape 2. Entrez l’information.
Dans cet exemple, l’utilisateur appartient à un groupe appelé ALL_ACCOUNTS, mais il peut être ajusté selon les besoins, comme indiqué dans l’image.
Le profil de politiques est le résultat attribué à un client selon ses paramètres (comme son adresse MAC, ses informations d’authentification, le réseau WLAN utilisé, etc.). Il est possible de lui affecter des paramètres précis comme un réseau local virtuel (VLAN), des listes de contrôle d’accès (ACL), des redirections d’URL (Uniform Resource Locator), etc.
Notez que dans les versions récentes d’ISE, un résultat d’autorisation Cisco_Webauth existe déjà. Ici, vous pouvez le modifier pour modifier le nom de la liste de contrôle d’accès de redirection afin qu’il corresponde à ce que vous avez configuré sur le contrôleur WLC.
Étape 1. Allez à Policy > Policy Elements > Results > Authorization > Authorization Profiles (politique > éléments de politique > résultats > autorisation > profils d’autorisation). Cliquez sur Add (ajouter) pour créer le vôtre ou modifier le résultat Cisco_Webauth par défaut.
Étape 2. Entrez les informations de redirection. Assurez-vous que le nom de la liste de contrôle d’accès est le même que celui qui a été configuré sur le contrôleur WLC 9800.
Étape 1. Un ensemble de stratégies définit un ensemble de règles d'authentification et d'autorisation. Pour en créer un, accédez àPolicy > Policy Sets
, cliquez sur l'engrenage du premier jeu de stratégies de la liste et sélectionnezInsert new row above or select the defaut Policy Set by clicking the blue arrow on the right.
Étape 2. Développez la politique d’authentification. Pour la règle MAB (match on wired or wireless MAB), développez Options et choisissez l'option CONTINUE dans le cas "If User not found".
Étape 3. Cliquez sur Save (enregistrer) pour enregistrer vos modifications.
La règle d’autorisation est celle qui détermine quelles autorisations (quel profil d’autorisation) s’appliquent au client.
Étape 1. Sur la même page d’ensemble de politiques, fermez la politique d’authentification et développez la politique d’autorisation, comme illustré dans l’image.
Étape 2. Les versions récentes d'ISE commencent avec une règle précréée appelée Wifi_Redirect_to_Guest_Login qui correspond principalement à nos besoins. Tournez le panneau gris vers la gauche pour l’activer.
Étape 3. Cette règle correspond uniquement à Wireless_MAB et renvoie les attributs de redirection CWA. Maintenant, nous ajoutons éventuellement une petite torsion et la faisons correspondre uniquement sur notre SSID spécifique. Sélectionnez la condition (Wireless_MAB à partir de maintenant) pour faire apparaître Conditions Studio. Ajoutez une condition à droite et sélectionnez le dictionnaire Radius avec l’attribut Called-Station-ID. Faites en sorte qu’il corresponde à votre nom SSID. Validez en sélectionnant l'option « Utiliser » en bas de l'écran, comme illustré dans l'image.
Étape 4. Vous avez maintenant besoin d'une seconde règle, définie avec une priorité plus élevée, qui correspond à la condition Guest Flow afin de retourner les détails d'accès au réseau une fois que l'utilisateur s'est authentifié sur le portail. Vous pouvez utiliser la règle d’accès invité Wi-Fi, qui est également précréée par défaut sur les versions récentes d’ISE. Il vous suffit ensuite d’activer la règle avec une marque verte à gauche. Vous pouvez renvoyer l’autorisation d’accès par défaut ou configurer des restrictions de listes d’accès plus précises.
Étape 5. Enregistrez les règles.
Cliquez sur Save (enregistrer) en bas des règles.
Que faire si vous avez des points d’accès de commutation locaux Flexconnect et des WLAN? Les sections précédentes sont toujours valides. Cependant, nous avons besoin d’une étape supplémentaire pour pousser la liste de contrôle d’accès de redirection vers les points d’accès à l’avance.
Accédez à Configuration > Tags & Profiles > Flex et sélectionnez votre profil Flex. Accédez à l'onglet Policy ACL.
Cliquez sur Add (ajouter) comme indiqué sur l’image.
Sélectionnez le nom de votre liste de contrôle d’accès de redirection et activez l’option « Central web authentication » (authentification Web centralisée). Cette case à cocher inverse automatiquement la liste de contrôle d'accès sur l'AP lui-même (c'est parce qu'une instruction "deny" signifie "ne pas rediriger vers cette IP" sur le WLC dans Cisco IOS® XE, cependant sur l'AP l'instruction "deny" signifie le contraire, de sorte que cette case à cocher permute automatiquement toutes les autorisations et tous les refus quand il effectue la poussée vers l'AP. Vous pouvez le vérifier à l’aide d’un formulaire show ip access list (afficher liste d’accès IP) de l’interface CLI du point d’accès).
Remarque : dans un scénario de commutation locale Flexconnect, la liste de contrôle d'accès DOIT mentionner spécifiquement les instructions de retour (ce qui n'est pas nécessairement requis en mode local). Assurez-vous donc que toutes vos règles de liste de contrôle d'accès couvrent les deux modes de trafic (vers et depuis l'ISE par exemple).
N'oubliez pas d'appuyer sur Enregistrer, puis Mettre à jour et appliquer au périphérique.
Pour que le client fasse confiance au certificat d'authentification Web, il n'est pas nécessaire d'installer un certificat sur le WLC car le seul certificat présenté est le certificat ISE (qui doit être approuvé par le client).
Vous pouvez utiliser ces commandes pour vérifier la configuration actuelle.
# show run wlan # show run aaa # show aaa servers # show ap config general # show ap name <ap-name> config general
# show ap tag summary
# show ap name <AP-name> tag detail
# show wlan { summary | id | nme | all }
# show wireless tag policy detailed <policy-tag-name>
# show wireless profile policy detailed <policy-profile-name>
Voici la partie pertinente de la configuration du WLC qui correspond à cet exemple :
aaa new-model !
aaa authorization network CWAauthz group radius aaa accounting identity CWAacct start-stop group radius ! aaa server radius dynamic-author client <ISE-IP> server-key cisco123 ! aaa session-id common ! ! radius server ISE-server address ipv4 <ISE-IP> auth-port 1812 acct-port 1813 key cisco123 ! ! wireless aaa policy default-aaa-policy wireless cts-sxp profile default-sxp-profile wireless profile policy default-policy-profile aaa-override nac vlan 1416 no shutdown wireless tag policy cwa-policy-tag wlan cwa-ssid policy default-policy-profile wlan cwa-ssid 4 cwa-ssid
mac-filtering CWAauthz
no security ft adaptive
no security wpa
no security wpa wpa2
no security wpa wpa2 ciphers aes
no security wpa akm dot1x
no shutdown
ip http server (or "webauth-http-enable" under the parameter map)
ip http secure-server
-Assurez-vous que le client se connecte et obtient une adresse IP valide.
- Si la redirection n'est pas automatique, ouvrez un navigateur et essayez une adresse IP aléatoire. Par exemple 10.0.0.1. Si la redirection fonctionne alors, il est possible que vous ayez un problème de résolution DNS. Vérifiez que vous disposez d'un serveur DNS valide fourni via DHCP et qu'il peut résoudre les noms d'hôte.
- Assurez-vous que la commande "ip http server" est configurée pour que la redirection sur HTTP fonctionne. La configuration du portail d'administration Web est liée à la configuration du portail d'authentification Web et doit être écoutée sur le port 80 afin de rediriger. Vous pouvez choisir de l'activer globalement (en utilisant la commande "ip http server") ou vous pouvez activer HTTP pour le module d'authentification Web uniquement (en utilisant la commande "webauth-http-enable" sous la carte de paramètres).
- Si vous n'êtes pas redirigé lorsque vous essayez d'accéder à une URL HTTP et que cela est nécessaire, vérifiez que vous avez la commande "intercept-https-enable" sous le mappage de paramètre :
parameter-map type webauth global
type webauth
intercept-https-enable
trustpoint xxxxx
Vous pouvez également vérifier via l'interface graphique que l'option "Web Auth intercept HTTPs" est cochée dans la carte des paramètres :
Le contrôleur sans fil Cisco Catalyst 9800 dispose d'un port de service appelé GigabitEthernet 0port. À partir de la version 17.6.1, RADIUS (y compris CoA) est pris en charge par ce port.
Si vous souhaitez utiliser le port de service pour RADIUS, vous devez disposer de la configuration suivante :
aaa server radius dynamic-author
client 10.48.39.28 vrf Mgmt-intf server-key cisco123
interface GigabitEthernet0
vrf forwarding Mgmt-intf
ip address x.x.x.x x.x.x.x
!if using aaa group server:
aaa group server radius group-name
server name nicoISE
ip vrf forwarding Mgmt-intf
ip radius source-interface GigabitEthernet0
Le contrôleur WLC 9800 offre des fonctionnalités de traçage TOUJOURS ACTIVES. Cela garantit que toutes les erreurs liées à la connectivité du client, les messages de niveau d'avertissement et d'avertissement sont constamment consignés et que vous pouvez afficher les journaux d'un incident ou d'une défaillance après qu'il se soit produit.
Remarque : vous pouvez revenir en arrière de quelques heures à plusieurs jours dans les journaux, mais cela dépend du volume de journaux générés.
Afin d'afficher les traces que le WLC 9800 a collectées par défaut, vous pouvez vous connecter via SSH/Telnet au WLC 9800 et effectuer ces étapes (Assurez-vous de consigner la session dans un fichier texte).
Étape 1. Vérifiez l'heure actuelle du WLC de sorte que vous puissiez suivre les journaux dans le temps de retour à quand le problème s'est produit.
# show clock
Étape 2. Collectez les syslogs à partir de la mémoire tampon WLC ou du syslog externe comme dicté par la configuration du système. Cela fournit un aperçu rapide de l’intégrité du système et des erreurs, le cas échéant.
# show logging
Étape 3. Vérifiez si les conditions de débogage sont activées.
# show debugging Cisco IOS XE Conditional Debug Configs: Conditional Debug Global State: Stop Cisco IOS XE Packet Tracing Configs: Packet Infra debugs: Ip Address Port ------------------------------------------------------|----------
Remarque : si une condition est répertoriée, cela signifie que les traces sont consignées au niveau de débogage pour tous les processus qui rencontrent les conditions activées (adresse MAC, adresse IP, etc.). Cela augmenterait le volume de journaux. Par conséquent, il est recommandé d’effacer toutes les conditions lorsque le débogage n’est pas actif.
Étape 4. En supposant que l'adresse MAC testée n'était pas répertoriée comme condition à l'étape 3, collectez les traces de niveau de notification toujours actif pour l'adresse MAC spécifique.
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
Vous pouvez soit afficher le contenu de la session, soit copier le fichier sur un serveur TFTP externe.
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
Débogage conditionnel et traçage Radio Active
Si les traces toujours actives ne vous donnent pas suffisamment d'informations pour déterminer le déclencheur du problème en cours d'investigation, vous pouvez activer le débogage conditionnel et capturer la trace Radio Active (RA), qui fournit des traces de niveau de débogage pour tous les processus qui interagissent avec la condition spécifiée (adresse MAC du client dans ce cas). Afin d'activer le débogage conditionnel, passez à ces étapes.
Étape 5. Assurez-vous qu’aucune condition de débogage n’est activée.
# clear platform condition all
Étape 6. Activez la condition de débogage pour l’adresse MAC du client sans fil que vous souhaitez surveiller.
Ces commandes commencent à surveiller l’adresse MAC fournie pendant 30 minutes (1 800 secondes). Vous pouvez aussi augmenter ce délai pour qu’il atteigne jusqu’à 2085978494 secondes.
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
Remarque : Afin de surveiller plusieurs clients à la fois, exécutez la <aaaa.bbbb.cccc>commande de débogage sans fil mac par adresse MAC.
Remarque : Le résultat de l’activité du client ne s’affiche pas sur la session du terminal, car tout est mis en mémoire tampon interne pour être consulté plus tard.
Étape 7. Reproduisez le problème ou le comportement que vous souhaitez surveiller.
Étape 8. Arrêtez le débogage si le problème est reproduit avant la fin du temps de surveillance par défaut ou configuré.
# no debug wireless mac <aaaa.bbbb.cccc>
Une fois que le temps de surveillance s’est écoulé ou que le débogage sans fil a été arrêté, le contrôleur WLC 9800 génère un fichier local du nom de :
ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Étape 9. Recueillir le fichier de l’activité de l’adresse MAC. Il est possible de copier le fichier de suivi RA .log sur un serveur externe ou d’afficher le résultat directement à l’écran.
Vérifiez le nom du fichier de suivi RA.
# dir bootflash: | inc ra_trace
Copiez le fichier sur un serveur externe :
# copy bootflash: ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
Affichez-en le contenu :
# more bootflash: ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Étape 10. Si vous ne trouvez toujours pas la cause première, collectez les journaux internes, qui peuvent vous offrir une vue plus détaillée des journaux de niveau de débogage. Vous n'avez pas besoin de déboguer à nouveau le client, car nous examinons seulement plus en détail les journaux de débogage qui ont déjà été collectés et stockés en interne.
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
Remarque : cette sortie de commande retourne des traces pour tous les niveaux de log pour tous les processus et est assez volumineuse. Veuillez faire appel à Cisco TAC pour faciliter l’analyse de ces suivis.
Vous pouvez soit copier le fichier ra-internal-FILENAME.txt sur un serveur externe, soit afficher le résultat directement à l’écran.
Copiez le fichier sur un serveur externe :
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
Affichez-en le contenu :
# more bootflash:ra-internal-<FILENAME>.txt
Étape 11. Supprimez les conditions de débogage.
# clear platform condition all
Remarque : assurez-vous de toujours supprimer les conditions de débogage après une session de dépannage.
Si le résultat de l'authentification n'est pas ce que vous attendez, il est important de naviguer jusqu'à la page Opérations ISE > Journaux actifs et d'obtenir les détails du résultat de l'authentification.
La raison de la panne (en cas de panne) et tous les attributs Radius reçus par ISE s'affichent.
Dans l’exemple suivant, ISE a rejeté l’authentification, car aucune règle d’autorisation n’y correspondait. En effet, nous voyons l’attribut Called-station-ID envoyé en tant que nom SSID ajouté à l’adresse MAC du point d’accès, tandis que l’autorisation correspondait exactement au nom SSID. Elle est corrigée avec le changement de cette règle en "contient" au lieu de "égal".
Après avoir résolu ce problème, le client Wi-Fi ne peut toujours pas s'associer au SSID alors qu'ISE affirme que l'autorisation est un succès et a renvoyé les attributs CWA appropriés.
Vous pouvez accéder à la page Troubleshooting > Radioactive trace de l'interface utilisateur Web du WLC.
dans la plupart des cas, vous pouvez vous fier aux journaux toujours actifs et même obtenir des journaux des tentatives de connexion passées sans reproduire le problème une fois de plus.
Ajoutez l’adresse MAC du client et cliquez sur Generate (générer), comme illustré dans l’image.
Dans ce cas, le problème réside dans le fait que nous avons fait une faute de frappe lorsque vous créez le nom de la liste de contrôle d'accès et il ne correspond pas au nom de la liste de contrôle d'accès retourné par les ISE ou le WLC se plaint qu'il n'y a pas de liste de contrôle d'accès comme celle demandée par ISE :
2019/09/04 12:00:06.507 {wncd_x_R0-0}{1}: [client-auth] [24264]: (ERR): MAC: e836.171f.a162 client authz result: FAILURE 2019/09/04 12:00:06.516 {wncd_x_R0-0}{1}: [ewlc-infra-evq] [24264]: (ERR): SANET_AUTHZ_FAILURE - Redirect ACL Failure username E8-36-17-1F-A1-62, audit session id 7847300A0000012EFC24CD42, 2019/09/04 12:00:06.518 {wncd_x_R0-0}{1}: [errmsg] [24264]: (note): %SESSION_MGR-5-FAIL: Authorization failed or unapplied for client (e836.171f.a162) on Interface capwap_90000005 AuditSessionID 7847300A0000012EFC24CD42. Failure Reason: Redirect ACL Failure. Failed attribute name REDIRECT.
Révision | Date de publication | Commentaires |
---|---|---|
8.0 |
30-Jan-2023 |
Mis à jour avec la version 17.6/17.9 (ip http server info, https intercept info ainsi que la note clé CoA) |
7.0 |
12-Jan-2023 |
Ajout d'une remarque sur l'utilisation du port de service pour RADIUS. |
6.0 |
28-Nov-2022 |
Des avertissements CCW corrigés et l'étape 3 ajoutée sont manquants. |
5.0 |
27-Apr-2022 |
Mise à jour du diagramme de flux CWA |
4.0 |
19-Oct-2021 |
Table des matières mise à jour |
3.0 |
17-Oct-2021 |
Mise à jour de la table des matières |
2.0 |
12-Oct-2021 |
Modifications de formatage |
1.0 |
21-Nov-2018 |
Première publication |